Erstellung einer/mehrerer Route(n) für 2 PCs in Verbindung mit OpenVPN-Tunnel

[Andy81]

Hallo an alle, ich bräuchte heute mal wieder etwas Unterstützung bei folgendem Problem in Verbindung mit einem OpenVPN-Tunnel:

Bisher hatte ich einen Mini-PC, auf dem der Axigen-Mailserver und der OpenVPN-Tunnel parallel liefen.

Jetzt habe ich zusätzlich noch einen zweiten Mini-PC aufgebaut, der nur für den OpenVPN-Tunnel „zuständig“ ist (interne IP-Adresse 192.168.175.49). Der Axigen-Mailserver soll sich also nur wieder auf die Mails „konzentrieren“.

Ich hatte bisher in der Fritzbox eine feste IPv4-Route mit folgenden Daten erstellt:

IPv4-Netzwerk: IP Adresse OpenVPN Tunnel

Subnetzmaske: 255.255.255.0

Gateway: 192.168.175.50 (interne IP-Adresse des Axigen-Mailservers)

Hintergrund: Ich möchte mit Outlook nicht die interne IP-Adresse des Axigen-Mailservers verwenden, da ich hier sonst kein SSL-Zertifikat verwenden kann, sondern die externe Domain für den Zugriff auf den Mailserver. Durch die feste Route lief der Datenverkehr aber tatsächlich nicht erst nach extern und dann wieder zurück, sondern die FritzBox leitete trotz externer Domainadresse die Daten innerhalb des Netzwerkes weiter, so dass die Synchronisation in Outlook deutlich schneller verlief.

Leider funktioniert das jetzt nicht mehr, seit dem der 2. Mini-PC die OpenVPN separat erstellt und die entsprechenden Ports für den Mailserver an die Axigen-Software weiterleitet. Ich habe hier das Gefühl, dass eine zweite Route (zwischen den beiden Mini-PCs?) benötigt wird um wieder die ursprüngliche feste IPv4 Route oben für den VPN-Tunnel verwenden zu können, kann das sein?

Gruß
Andreas

 

[Raijin]

Ich kann dir nicht so recht folgen, weil das eine mit dem anderen nichts zu tun hat.

Ruft man von außerhalb des Netzwerks eine Domain auf, die auf die öffentliche IP des Routers zeigt, kommt die Verbindung am WAN-Port des Routers an und er reicht sie gemäß definierter Portweiterleitungen weiter zum lokalen Ziel.

Wenn man von innerhalb des Netzwerks eine Domain aufruft, die auf die öffentliche IP des Routers zeigt, muss der Router NAT-Loopback unterstützen. Dabei dreht der Router die Verbindung noch im WAN-Port kurz vorm Abschicken an den Provider um 180° und schickt sie wieder in den WAN-Port samt NAT-Pipeline (Portweiterleitungen). Am (lokalen) Zielserver kommt daraufhin eine eingehende Verbindung an, die als Absender die öffentliche IP des Routers hat.

In beiden Fällen sind keinerlei Routen notwendig und in beiden Fällen sieht der Client die öffentliche IP des Routers als Ziel seiner Verbindung. Für Client und Server ist beides also eine ganz normale Verbindung ins bzw. aus dem Internet, nur dass im zweiten Fall die öffentliche IP des Routers Ziel und Absender der Verbindung im Internet ist - wobei sich der Weg "im Internet" dabei auf den WAN-Port beschränkt, weil kein Paket den Router verlässt.


An dieser Stelle kann ich nicht nachvollziehen wo OpenVPN ins Spiel kommen soll, weil das nach meinem Verständnis deiner Beschreibung überhaupt keine Rolle spielt.

 

[spcqike]

Ich bekomme dein Setup in meinem Kopf nicht ganz zusammen.

Läuft der Mailserver in/hinter einem VPN?

die statische Route in der Fritzbox ist dafür da, dass die FB weiß, wo (hinter welchem Client) sie welches Netzwerk findet. das hat per se erst mal nichts mit einem Mail Server zu tun.

wenn du deinen Mail-Server per externer DNS erreichst, brauchst du das Port-Forwarding.

in meinem Fall hab ich intern einfach einen DNS Server, der meine Mail-Domain intern korrekt auf die interne IP auflöst. Damit geht es auch nicht über den Router. Fragen von extern kommen natürlich beim Router an und gehen dann mit Port-Forwarding zum Mailserver.

 

[Andy81]

Der Mailserver läuft hinter dem VPN. Es geht eigentlich um den Datenverkehr, der "nach draußen" geht. OpenVPN hat eine feste IP-Adresse, über die von außen auf den Mailserver zugegriffen wird (Subdomain in den DNS-Einstellungen mit dieser IP-Adresse hinterlegt). Diese Subdomain ist Posteingangsserver und Postausgangsserver auf den Geräten (Smartphone und PCs im Heimnetzwerk).
Wenn ich im Outlook die Subdomain xxx.xxx.de verwende, ist es logisch, dass er nach draußen geht und über die feste IP-Adresse über OpenVPN wieder "zurückkommt". Ich könnte natürlich auch die interne IP-Adresse des Mailservers also Posteingang- und Ausgangsserver für die internen PCs verwenden, aber dann kann ich keine SSL-Verschlüsselung mehr verwenden, da ich kein SSL Zertifikat für eine interne IP-Adresse ausstellen lassen kann, deshalb verwende ich den Domainnamen als Posteingangsserver und Postausgangsserver...

 

[TheCadillacMan]

Hast du die vorhandene Route abgeändert, dass sie auf den OpenVPN-Server (.49) zeigt?
Das ist unabhängig vom Mail-Server sowieso nötig, da sonst die VPN-Clients nicht mehr aus dem LAN erreichbar sind.

 

[Raijin]

So ganz steige ich da immer noch nicht durch, sorry.

Also, der Mailserver steht an einem anderen Standort B, korrekt?

Der Mailserver ist an diesem Standort B über die öffentliche IP des Standorts B erreichbar?

Der öffentliche DNS-Eintrag zur Domain des Mailservers zeigt auf die öffentliche IP des Standorts B?

Zu diesem Standort B gibt es eine OpenVPN-Verbindung aus deinem lokalen Standort A, richtig?

Und jetzt willst du aus dem lokalen Netzwerk A über die VPN-Standortverbindung auf den Mailserver zugreifen, aber die öffentliche Domain verwenden?


Ist das soweit korrekt? Wenn nein, machst du am besten eine kleine Skizze vom Aufbau inkl IP-Adressen.


Sollte das soweit stimmen, verstehe ich aber nicht warum der Mailserver explizit über die VPN-Verbindung erreicht werden soll, wenn man ihn doch einfach über die reguläre öffentliche Domain erreichen kann. Ich vermute daher, dass ich deinen Aufbau noch nicht 100%ig erfasst habe.


Wie dem auch sei, wenn du den Mailserver über eine Route im Router explizit durch das VPN erreichen willst, legst du die Route so an, dass sie entweder das gesamte Subnetz des anderen Standorts über die lokale IP des OpenVPN-Gateways schickt oder du nimmst explizit nur die IP des Mailservers mit Subnetzmaske 255.255.255.255 via OpenVPN-Gateway

 

[spcqike]

verstehe ich das so richtig?

ein externer VPN Server mit fester IP auf den der DNS Eintrag zeigt

dann intern dein OpenVPN Server und dein Mail-Server?
Du willst über die externe IP des externen Servers die Mails senden und zustellen?

 

[Andy81]

@Raijin und spcqike

Genau so wie es in der Skizze von spcqike aufgezeichnet ist, ist es fast korrekt. VPN-Server mit fester IP von portunity.de und MX-Eintrag bzw. A-Record für eine Subdomain.
Im Haus bei mir ein NUC als OpenVPN-Client (192.168.175.49), im gleichen Netzwerk dann noch ein NUC mit Axigen Mailserver (192.168.175.50). Die entsprechenden Ports für Mailverkehr werden von xxx.49 auf xxx.50 weitergeleitet. Das funktioniert alles.
Über die externe IP-Adresse werden keine Mail verschickt, der Versand läuft über den Axigen-Mailserver über den dort eingetragenen SMTP des Providers der die Domain bzw. Subdomain hostet. Die feste IP-Adresse und die damit verbundene Subdomain dienen aktuell ausschließlich dazu, um die Verbindung von außen zum Mailserver über den OpenVPN Client herzustellen. Mir geht es hauptsächlich darum, dass die eingehenden Mail nicht irgendwo extern "rumliegen".
Wie bereits oben geschrieben, könnte ich intern bei den PCs mit Outlook die interne IP-Adresse des Axigen-Mailserver xxx.50 als Posteingangsserver und Postausgangsserver einstellen, möchte ich aber eigentlich nicht wegen der SSL-Verschlüsselung, die ist nur über die Subdomin 123.456.de (natürlich nur eine Beispiel-Domainadresse) möglich.
Bei den eigentlich sonstigen PCs im Haus läuft der Datenverkehr natürlich ganz normal über die vorhandene VDSL-Leitung, die müssen nicht den gesamten Datenverkehr über die OpenVPN Verbindung leiten. Hier gehts nur um den Mailverkehr bzw. die Verbindung der normalen PCs mit Outlook zum Mailserver.

Ich verstehe das so, dass wenn ich die Subdomain als Posteingangs- und Ausgangsserver verwende, dass dann erst die Daten/Anfrage über VDSL rausgehen, um dann die DNS-Einstellung "zu finden" und dann wieder über die feste IP-Adresse vom OpenVPN Server von portunity.de zurück zum OpenVPN-Client läuft und dann zum Mailserver weitergeleitet wird. Und diesen Weg möchte ich eigentlich umgehen. Wie gesagt, dass ging bisher mit der in der FritzBox angelegten Route, aber mit einem NUC auf dem OpenVPN Client und Mailserver lief. Und jetzt laufen beide Dinge eben getrennt und stellt mich aktuell noch immer vor das im ersten Beitrag genannten Problems...

Ich hoffe, ich konnte das jetzt nochmal etwas verdeutlichen.

 

[spcqike]

Es macht keinen Sinn, dass die statische Route den Traffic an subdomain.domain.de direkt an den Mailserver geschickt haben sollte. das glaube ich nicht.

dein aktuelles Problem wird wohl vielmehr sein, dass dir nun die Route fehlt.
ändere die statische Route, wie von @TheCadillacMan beschrieben, so, dass sie wieder auf den lokalen openvpn Server zeigt. Dann sollte es wieder gehen.

Mit deinem Setup wirst du ohne lokalem DNS Server nicht um den Umweg "Daten gehen zum externen Server, durchs VPN zum internen VPN Server und dann weiter zum eigentlichen Mailserver" herumkommen. (und ich gehe davon aus, genauso war es vor deiner Umstellung die gesamte Zeit, nur du hast es nicht bemerkt)

 

[Andy81]

Doch, es war vorher definitv anders, denn ohne Route wurden die Mailpostfächer viel langsamer synchronisiert (ca. 10 Sek.), nach anlegen der Router waren es nur noch 2-3 Sekunden.

Die Route habe ich bereits auf die Adresse xxx.49 gelegt, ändert nichts daran... wenn es dafür keine andere Lösung gibt, muss das jetzt eben so bleiben. Dann kann ich die Route ganz löschen, denn ohne funktioniert es genauso...

 

[Raijin]

Wenn sich der Mailserver im selben Netzwerk befindet, brauchst du doch gar keine Route? Ich kann das Setup immer noch nicht so recht nachvollziehen.

Versuch mal folgendes:

• Öffne am PC eine Eingabeaufforderung als Administrator
• Gib folgendes Kommando ein: notepad c:\windows\system32\drivers\etc\hosts
• Füge einen Eintrag zu "meinmailserver.domain" mit seiner lokalen IP-Adresse hinzu
• Öffne Outlook und stelle sicher, dass das Konto "mein.mailserver.domain" verwendet
• Teste die Mail-Verbindung

Sollte das funktionieren, entfernst du den Eintrag in der hosts wieder. Es reicht dann aus, wenn du im lokalen DNS (in der Regel der Router) einen manuellen Eintrag für die Domain mit der lokalen IP-Adresse des Servers hinzufügst. Ist das bei deinem Router nicht möglich, könnte man auf dem NUC noch pihole, o.ä. installieren und als lokalen DNS verwenden, dort kann man einen manuellen Eintrag hinzufügen (und hat gleich noch einen Adblocker dabei).

 

[Andy81]

Mit dem Eintrag in der hosts funktioniert es wieder... jetzt musst du mir nur sagen, warum ich das wieder löschen soll? Thema Sicherheit oder weil man es theoretisch bei jedem PC hinterlegen müsste?
Ich muss mal schauen, ob das in der FritzBox geht...

 

[spcqike]

weil es bei jedem Gerät hinterlegt werden müsste.

im Falle eines DNS Servers eben nur zentral dort.

Dann greift das auch für mobile Geräte.

 

[Andy81]

Also auf der FritzBox finde ich keine Möglichkeit das einzugeben. pihole müsste dann auf welchen NUC? Den Mailserver oder OpenVPN-Client-Server? Vermutlich auf dem Mailserver oder?

 

[spcqike]

Völlig egal.

Wenn du grade so oder so noch beim „finden“ bist, guck sie vielleicht mal sowas wie Proxmox an.

Virtuelle Server auf einem Host sind schon was feines.

Ich wage auch zu behaupten dass auch nur einer deiner NUC mit dem was sie machen auch nur ansatzweise ausgelastet ist.

 

[Andy81]

Geht nicht um die Auslastung...

Ergänzung (23. Februar 2023)

pihole lässt sicht nicht installieren, weil das Image nicht unterstützt wird. Habe das Linuxmint 21.1 drauf...

 

[Raijin]

jetzt musst du mir nur sagen, warum ich das wieder löschen soll? Thema Sicherheit oder weil man es theoretisch bei jedem PC hinterlegen müsste?

@spcqike hat's schon erklärt, ich wollte nur nich etwas ergänzen:

Die hosts-Datei ist sozusagen ein lokaler Override für DNS. Das Betriebssystem guckt als allererstes in die hosts ob dort bereits ein Eintrag zu mailserver.domain zu finden ist und wenn ja, wird die dortige IP genommen ohne dass überhaupt eine DNS Abfrage gemacht wird. Bei mobilen Geräten hat man auf diese Datei in der Regel gar keinen Zugriff, aber selbst wenn, dann nimmt man diese Datei überall hin mit. So würde das Gerät zB auch im Hotel-WLAN oder über Mobilfunk stets diese IP verwenden.
Daher der manuelle DNS-Eintrag im lokalen DNS-Server. So wirkt sich die lokale IP des Servers tatsächlich auch nur lokal aus und unterwegs wird die öffentliche Domain bzw IP verwendet.


Zu pihole: Pihole ist nur ein Beispiel für einen weit verbreiteten lokalen DNS-Server. Adguard wäre ein vergleichbarer lokaler DNS und bringt wie pihole gleich einen Adblocker mit. Man kann aber auch dnsmasq oder bind nutzen, dann eben ohne Adblock und schickes Webinterface.

Ob und wenn ja wie man bei einer Fritzbox einen manuellen DNS-Eintrag erstellen kann, weiß ich mangels FritzErfahrung leider nicht.

 

[Andy81]

Vielleicht kann ja noch einer helfen bezüglich Fritzbox.

 

[spcqike]

Da kann keiner helfen. Die FRITZ!Box kann keine eigene dns Einträge verwalten.

Du kannst nur einen eigenen dns Server per DHCP verteilen, den deine Geräte dann verwenden.

Du kannst pihole (oder jeden anderen dns) auch in einem LXC starten. Oder in Docker. Oder oder.

Ich tendiere ja immer noch zu richtiger Virtualisierung. Einfach zwei VMs oder eine VM und einen LXC. Jede für seine. Zweck. Fertig.

 

[Andy81]

Ich werde auf allen 4 Geräten im Haushalt die hosts bearbeiten... die Handys usw. sind von außen relativ flott, da brauche ich nichts ändern. Die Smartphones synchronisieren das große Postfach nicht wirklich mit, das wird nur hausintern gemacht.
Danke für eure Hilfe bis hier.